Die Macht des Proxys: Umgang mit der Bedrohung durch (ausgehende) E-Mails

Einer aktuellen (also wirklich aktuellen) Statistik zufolge handelt es sich bei 80 % aller eingehenden E-Mails um Junk-E-Mails. Das basiert auf anekdotischen Beweisen dafür, dass sich meine Ordner „Junk“ und „Spam“ viel schneller füllen als die gültigen E-Mails, die in meinem Posteingang verbleiben. Ich bin mir also nicht sicher, ob Sie das als absoluten Wert zitieren möchten, aber ich wette, die meisten Leute würden den Prozentsatz an Junk-Mails im Vergleich zu gültigen E-Mails in ihrem eigenen Posteingang gleich schätzen.

Unter den Junk-Mails befindet sich immer auch eine kleinere Anzahl bösartiger E-Mails. Und zwar in der Art, bei der es sich eigentlich nur um einen Phishing-Versuch handelt, der darauf abzielt, einen Virus einzuschleusen oder mich dazu zu zwingen, ihnen meine Anmeldedaten mitzuteilen. Kleiner, weil wir (als Unternehmen „Wir“) wie die meisten (72 %) Organisationen Dienste zur Spam-Abwehr nutzen. Das ist übrigens eine echte Statistik aus unserem Bericht „State of Application Delivery“.

Es scheint also, dass E-Mail dank der Technologie und der unermüdlichen Aufklärung der Sicherheitsteams viel sicherer ist als die meisten Applications zur Zusammenarbeit.

Außer wenn dies nicht der Fall ist.

Dies ist genau das, was CloudLock kürzlich in seinem Q3 Cybersecurity Report , neben anderen interessanten Einzelheiten, herausgefunden hat. Was mir wirklich auffiel, war der springende Punkt beim „Teilen“ von E-Mails. CloudLock hat festgestellt, dass Organisationen durchschnittlich mit 865 externen Parteien zusammenarbeiten. Nur 25 davon machen 75 % des Cloud-basierten Teilens pro Organisation aus. Doch 70 % der Freigaben erfolgen über E-Mail-Adressen außerhalb des Unternehmens, über die die Sicherheitsteams kaum Kontrolle haben. 

Mit anderen Worten: Ausgehende E-Mails stellen ein echtes Risiko für die Unternehmenssicherheit dar. Dies liegt nicht unbedingt daran, dass jeder, der Unternehmensdaten mit einer externen, nicht zum Unternehmen gehörenden E-Mail-Adresse teilt, böswillige Absichten verfolgt, sondern an den unbekannten Risiken, die mit der externen Speicherung dieser Daten verbunden sind. Ist es verschlüsselt? Wahrscheinlich nicht. Ist es sicher vor Scans und den neugierigen Blicken der Mitarbeiter des E-Mail-Anbieters? Wahrscheinlich nicht.

Und doch, wie CloudLock betont, haben Sicherheitsteams kaum Kontrolle über diese Art von Aktivitäten.

Das ist zwar richtig, doch es gibt jemanden, der diese Art von Aktivität möglicherweise kontrolliert (oder kontrollieren kann): das Netzwerkteam.

Nehmen wir einmal an, dass sich Ihr Unternehmens-E-Mail-System vor Ort befindet. Während dies heute bei vielen Unternehmen nicht der Fall ist, ist es bei vielen immer noch so, dass dies auf Vorschriften und Compliance-Bemühungen zurückzuführen ist, die außerhalb des Unternehmens einfach nicht ausreichend durchgesetzt werden können. Jeder nutzt also einen Dienst, der sich in Ihrem Rechenzentrum, in Ihrem Netzwerk und unter Ihrer Kontrolle befindet.

Hier kann ein programmierbarer Proxy die Kontrolle bieten (durch Sichtbarkeit), die Sie benötigen, um (falls Sie das wünschen) die Weitergabe von Unternehmensdaten an nicht zum Unternehmen gehörende E-Mail-Adressen zu verhindern.

Sehen Sie, ein Reverse-Proxy sitzt vor einem Dienst. Normalerweise ist das ein Webserver und der Proxy stellt Lastausgleichsdienste bereit. In diesem Fall sitzt der Proxy vor Ihrem SMTP-Dienst (wie Exchange) und stellt einen Outbound-Scrubbing-Dienst bereit. Sie fragen sich, wie das passiert ist? Indem jede „SEND“-Nachricht überprüft wird und festgestellt wird, ob es sich bei dem Ziel um ein „Unternehmensziel“ handelt oder nicht und ob es vertrauliche Daten enthält.

Glauben Sie mir, Ersteres ist einfacher als Letzteres. SMTP ist ein bekanntes und ausführlich beschriebenes Protokoll. Durch die Programmierbarkeit des Datenpfad können Sie dieses Protokoll analysieren und problemlos zwischen „Unternehmens-“ und „Nicht-Unternehmens-“Protokollen unterscheiden . Schließlich kennen Sie die Domänen, für die Sie E-Mails verwalten. Das sind Unternehmen. Irgendetwas anderes? Kein Unternehmen.

Herauszufinden, ob Anhänge oder eingebettete Daten vertrauliche (oder riskante) Informationen oder Daten enthalten könnten, ist etwas schwieriger. Da Sie jedoch Zugriff auf die gesamte Nutzlast – einschließlich Anhängen – haben, können Sie zunächst dieselben Techniken verwenden, die auch von Web Application Firewalls zum „Scannen und Bereinigen“ vertraulicher Daten aus Applications eingesetzt werden. Auch der Dateiname des Anhangs kann Ihnen als Hinweis dienen. Vielleicht blockieren Sie einfach alles, was die Dateiformate .zip oder .xls hat. Sie können die gültige Freigabe für E-Mail-Adressen außerhalb des Unternehmens zulassen, indem Sie entweder diejenigen auf die Whitelist setzen, die an E-Mail-Adressen außerhalb des Unternehmens senden dürfen, oder eine Liste genehmigter E-Mail-Adressen außerhalb des Unternehmens, die Nachrichten empfangen dürfen.

Im Grunde bleibt es Ihnen überlassen. Wie streng möchten Sie diesen potenziellen Informationsverlust kontrollieren? Wie wichtig ist es, diese spezielle Bedrohung anzugehen?

Die Leistungsfähigkeit des (programmierbaren) Proxys ist nahezu unbegrenzt, denn wenn Sie die Sichtbarkeit mit Code kombinieren, stehen Ihnen Optionen zur Verfügung. Sie können einzigartige Lösungen für auftretende Probleme implementieren, ohne auf neue Software oder Lösungen angewiesen zu sein, die zusätzliche architektonische und betriebliche Herausforderungen mit sich bringen. Deshalb benötigen Sie einen modernen App-Proxy mit Programmierbarkeit, Leistung und (Unterstützung für viele) Protokolle; denn Sichtbarkeit + Programmierbarkeit = Gewinn.